2023年中国企业开源治理全景观察报告

2020年，中国信息通信研究院制定标准《开源软件治理能力评价方法 第3部分：成熟度模型》，确立了企业开源软件治理能力框架，规定了开源用户企业在使用开源软件时应遵循的流程及规范，以及企业开源软件治理能力成熟度的评价方法，有效帮助了众多企业构建和提升开源软件治理能力。

为了解中国企业的开源风险治理举措和治理水平，中国信息通信研究院依托金融行业开源技术应用社区（FINOC）、通信行业开源社区（ICTOSC）、汽车行业开源社区等组织，通过问卷调查的形式针对七大行业的105家企业开展了开源软件治理能力成熟度调研，以明晰开源治理的行业现状以及未来的蓄力方向。

《2023中国企业开源治理全景观察整体》调研框架由开源软件治理的7个过程环节和3个能力要素组成，包括：组织机构、管理制度、风险管理、软件测评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。

开源治理活动级别代表了参与企业各项能力水平，具有【基础执行能力】被指定为“基础级-第1级”，具有【统一组织规划能力】被指定为“增强级-第2级”，具备【自动化的执行能力】被指定为“先进级-第3级”。

根据调研结果，被调研企业在开源治理能力成熟度各指标项下，待提升能力如下：

在组织机制方面，部分企业在开源治理战略、人力投入方面有所欠缺。在参与调研的企业中，约35%的企业缺乏专门负责开源战略和治理的组织。另外，超过40%的企业无全职人力资源分配给开源战略和治理工作。这些结果表明，我国企业开源软件治理机制存在着一定程度的缺失和不完善。

在管理制度方面，部分企业开源软件管控力度有待提高。超过30%的被调研企业在开源软件方面没有进行任何事前管控，项目组可以按需自行使用开源软件。此外，超过40%的被调研企业没有进行周期性的制度评审，也未根据实际情况持续优化制度内容。这些结果表明，这些企业的开源软件管理制度存在较大的缺陷，使用和评估开源软件缺乏规范性和持续性，可能导致不可控风险加剧。

在风险管理方面，大部分企业在风险管理工具、合规风险管理等方面能力存在不足。根据调研结果，超过50%的企业缺乏软件成分分析（SCA）工具，且尚未建立SBOM（软件物料清单）的生成与管理机制。与此同时，开源合规管理机制相对薄弱，超过60%的企业允许引入AGPL、 GPL类许可证，却未建立严格的开源合规评估流程。上述缺陷可能加剧潜在的法律和合规风险，并会对企业的知识产权和商业模式产生不利影响。

在软件测评方面，部分企业需加强对开源软件各个版本的评审和管控。超过53%的企业缺乏统一的开源软件引入评估模型。此外，超过60%的企业仅对软件的大版本进行管控，对小版本的使用采用相对简化的引入评估流程，且主要关注安全漏洞情况。缺乏企业级统一的评估模型和对各个版本的全面管控可能导致潜在的安全风险和合规问题。

从存量管理层面来看，大部分企业未形成清晰的存量软件治理规划。超过45%的企业缺乏存量开源软件治理规划，包括年度目标、计划等。此外，超过70%的企业仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查，而未针对开源许可证、开源社区健康度等进行持续跟踪。上述情况将导致潜在的安全风险和合规问题。

在第三方软件管理方面，企业对于第三方软件的管理存在一定不足。超过80%的企业通过合同义务来规范软件供应商，以确保其遵循企业的开源软件治理要求。然而，较少公司通过交付时检查组件清单/分发说明、要求供应商提供第三方检测报告等方式来确保软件的合规性。虽然通过合同规范能够在一定程度上转嫁第三方违规使用开源软件的风险，但缺乏对软件供应商交付物的实际检查和验证，不足以规避供应商软件中的安全合规风险。